信息安全复习十:Web与电子商务安全

news2024/12/26 9:27:23

一、章节梗概

1.信息安全的学科内容
2.Web和电子商务安全问题提出
3.安全套接字协议SSL与传输层安全协议TLS
4.安全电子交易(SET)简要介绍

复习:
密码学内容:对称密钥密码、公开密钥密码、报文鉴别
PKI:数字签名、数字证书、信任关系
身份认证协议:基于口令的身份认证、质询与应答技术、基于可靠第三方的身份认证

在这里插入图片描述
信息安全学科的主要内容如下:
在这里插入图片描述

二、Web与电子商务安全问题提出

关键点:Web&EC定义、威胁有哪些、哪里会有威胁

2.1 Web系统脆弱性讨论

Web是外网可见的
复杂的软件会隐藏漏洞
Web站点容易配置和管理
可被用作跳板发起对内网的攻击
用户没有意识到威胁存在

2.2 Web安全威胁有哪些、在哪里

1.哪里有威胁?

原生的基于Http协议的Web应用面临多种威胁:保密性、完整性、可用性、可认证(半对)

结论:需要安全机制

2.威胁在哪里?
①网络上:网络窃听、报文纂改
②服务端:恶意的钓鱼站点或安全性弱的站点

钓鱼:使用相同的口令
安全性弱的网站B容易泄露用户的口令
获得用户口令后尝试用同样的用户名和口令进入安全性高的网站(BankA)
在这里插入图片描述
③客户端:恶意软件,如Spyware、Trojan Horse等

2.3 电子商务

在Web应用之前
早在1839年,当电报出现,电子商务的讨论如电子资金清算系统(基于金融专线传输)
EFT ( electronic funds transfers ) ,Electronic data interchange (EDI )等
这里主要考虑基于Internet(公众网络)的商务活动

1990年后, Internet及其上商务的发展带来了电子商务新概念
Internet上的 web,是电子商务发展的一个转折点
WEB使得商务活动的成本降低
方便、快捷
多种多样的经济活动

电子商务所存在的安全威胁问题以及电子商务活动里这些安全威胁问题存在在哪些地方?
在这里插入图片描述

3.安全套接字协议SSL与传输层安全协议 TLS

关键点:SSL/TLS协议提供的安全服务、SSL记录协议、SSL握手协议

3.1 SSL/TLS协议提供的安全服务

安全套接字协议SSL ( Secure Socket Layer )协以最初由网景公司开发,有V1.0.V2.0,V3.0三个版本
后来成为Internet标准,名称改为TLS(TransportLayer Security),即传输层安全协议
TLS working group in lETF
TLS第一版V1.0(1999年)可以认为是SSL V3.1

3.2 安全机制在哪一层实现/在不同的网络层实现安全机制有什么区别

1.安全机制在哪一层实现?
答:在网络层、传输层、应用层分别有相应的实现方案
在这里插入图片描述

2.在不同的网络层实现安全机制,有什么区别?
在这里插入图片描述
放到网络设备上去实现有什么好处?
答:保护整个子网里的所有主机

在IP层做安全加固可以在路由器上实现,可以保护整个子网;
在传输层做安全加固只能在主机上实现,保护这台主机里的所有基于TCP的应用;

保护范围不同:应用层做加固,应用层数据本身做了加密;

在传输层做加密的时候,应用层数据本身是明文的没有保密的,交给传输层之后才会做加密,安全的保护;路由器上做了IPSEC加固,报文在校内网传递的时候,它是没有加密的,是明文传递的,只有经过路由器之后才会被加密;

lpsec除了可以在路由器上实现安全加固之外,也可以在主机上做ipsec加固,进行保护

3.3 SSL or TLS 所处的位置

3.4 协议的设计目标

为两个通讯个体之间提供保密性,数据完整性、身份认证
互操作性、可扩展性、相对效率

在这里插入图片描述
在这里插入图片描述

4.SSL记录协议

SSL/TLS的子协议
1.协议分为两层
底层:SSL记录协议
上层:SSL握手协议、SSL密码变化协议、ssl警告协议

2.SSL记录协议
建立在可靠的传输协议(如TCP)之上它提供连接安全性,有两个特点:
1.保密性,使用了对称加密算法
2.完整性,使用MAC算法
用来封装高层的协议

3.SSL握手协议(最复杂
客户和服务器之间相互认证>协商加密算法和密钥
它提供连接安全性,有三个特点:
①身份认证,至少对一方实现认证,也可以是双向认证
②协商得到的共享密钥是安全的,中间人不能够知道
③协商过程是可靠的
在这里插入图片描述

记录协议它的目标就是用来封装上层协议的在封装上层协议的时候对数据做了保密性的保护,对数据做了完整性的保护

SSL记录协议封装

在这里插入图片描述
SSL Record Format
在这里插入图片描述
SSL Record Protocol Payload

在这里插入图片描述

5.SSL握手协议

SSL协议最复杂的部分
在应用数据传输之前最先开始工作

问题1:握手协议使用的加密算法是什么?
答:握手协议我们之前提到了它所使用的加密算法是公开密钥加密算法

SSL握手协议的流程
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、安全电子交易(SET)简要介绍

关键点:SET概述、隐私保护:双重数字签名

6.1 SET概述

在这里插入图片描述

SET服务

在这里插入图片描述
在这里插入图片描述

6.2 隐私保护:双重数字签名

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

付款授权:授权请求、授权响应
付款捕获:捕获请求、捕获响应

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/466687.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MES管理系统助力企业数字化与实体经济实现“数实融合“

中国企业评估协会日前公布了2022年度“中国新经济500强”的名单。在这些企业中,先进制造业企业的比例超过了半数,尤其是互联网与现代信息技术服务业、新能源产业、新型生活性服务业等,在这些行业中占据了重要地位。由此可以看出,绿…

C/C++每日一练(20230427) 二叉树专场(5)

目录 1. 从中序与后序遍历序列构造二叉树 🌟🌟 2. 从先序与中序遍历序列构造二叉树 🌟🌟 3. 二叉树展开为链表 🌟🌟 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每…

微信小程序php+python+nodejs+vue 高校工资管理系统

在线公益知识练习及测试系统是随着计算机技术和互联网技术的发展而产生的一种的新的练习及测试模式,与传统的纸质化练习及测试不同,在线系统提高了练习或测试的效率,减少了纸张的浪费,减轻了教师的评卷压力,同时也为参…

易观千帆 | 金融机构如何保证用户体验长期可持续?

易观:用户体验正逐渐成为金融机构的命脉。 数字经济时代的到来,金融机构面临着来自内部和外部的双重压力。一方面,互联网金融企业凭借强大的技术能力以及人才优势,通过互联网运营的模式迅速响应客户需求,吸引了大量用户…

自定义Feign日志

文章目录 开篇定位Feign是怎么打印日志的?自定义FeignLogger实现 开篇 在上一篇Feign打印日志文章中,已经成功打印了FeignClient请求服务的日志信息,但是默认打印的日志太过零散,不是我们想要的。怎么能自定义日志打印的格式和内…

系统分析师《企业信息化战略与实施》高频知识点二

企业信息化战略与实施---系统建模 组织结构是一个企业内部部门的划分以及相互之间的关系,每个企业都有自己的组织结构图,它将企业分成若干部分,标明行政隶属关系。组织结构图是一种树结构,树的分支是根据上下级和行政隶属关系绘制…

二叉树 + 技巧

题目难度备注2471. 逐层排序二叉树所需的最少操作数目1635BFS 置换环 离散化2641. 二叉树的堂兄弟节点 II1677BFS 文章目录 周赛二叉树问题[2471. 逐层排序二叉树所需的最少操作数目](https://leetcode.cn/problems/minimum-number-of-operations-to-sort-a-binary-tree-by-l…

【AI绘画】云服务器部署stable-diffusion-webui保姆级教程

1.背景 之前给大家写过Mac苹果笔记本上部署stable-diffusion-webui的教程,知乎链接: 【奶奶看了也不会】AI绘画 Mac安装stable-diffusion-webui绘制AI妹子保姆级教程 但是安装过程就花了一天的时间,各种问题处理起来真是苦不堪言。。。而且…

如何解决生产缺料问题?

对于一个生产型企业来说,生产缺料是管理中的疑难问题之一。 生产缺料导致的最直接的危害就有两个: 第一就是不能准时交货,降低企业信用,情况严重可能导致根据合同赔款,甚至丢失客户。 第二个危害就是增加了生产成本…

部署LVS-DR 集群及实验

一、LVS-DR工作原理 LVS-DR(Linux Virtual Server Director Server)工作模式,是生产环境中最常用的一种工作模式。 #①LVS-DR 模式,Director Server 作为群集的访问入口,不作为网关使用; #②节点 Directo…

ueditor富文本编辑器上传木马图片或木马文件漏洞

漏洞分析: ueditor插件目录一般都自带index.html文件(完整demo文件),这个文件原来是用来测试插件功能的,但粗心的程序员们,开发好项目后,都忘记删除这个demo文件了,导致黑客可以很轻…

微服务不是本地部署的最佳选择,不妨试试模块化单体

微服务仅适用于成熟产品 关于从头开始使用微服务,马丁・福勒(Martin Fowler)总结道: 1. 几乎所有成功的微服务都是从一个过于庞大而不得不拆分的单体应用开始的。 2. 几乎所有从头开始以微服务构建的系统,最后都会因…

win11安装双系统ubuntu20.04指导

目录 一、制作U盘启动盘二、硬盘分区2.1方法2.2分区过程 三、安装系统3.1进入U盘启动3.2安装ubuntu3.3设置启动项 四、更新软件五、遇到的问题5.1不能连接WIFI 电脑型号:联想拯救者Y7000P 2023 无线网卡型号:WIFI 6E AX211 160MHz 系统版本:w…

借助尾号限行 API 实现限行规则应用的设计思路分析

引言 尾号限行是指根据车牌号的末尾数字,规定某些时段内不能在特定区域行驶,这是城市交通管理的一种措施。尾号限行政策的实施可以缓解城市交通拥堵问题,减少环境污染和交通事故等问题。 尾号限行 API 是一种提供已知所有执行限行政策的城市…

iSulad+Kuasar:管理面资源消耗锐减 99%的新一代统一容器运行时解决方案

随着云计算和容器技术的不断发展,容器引擎和容器运行时已经成为了云原生时代的基石,它们负责了容器生命周期的管理以及容器运行过程中环境的创建和资源的配置。openEuler 社区基于容器引擎项目 iSulad[1]在解决容器运行效率、安全性以及隔离性等问题上进…

DVWD-Command Injection Low/Medium/High低中高级别

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 Command Injection 一、Low级别二、Medium级别三、High级别 命令注入这关是一个Ping测试功…

《港联证券》半导体复苏预期“抢跑”产业现实 细分市场缓慢回温

虽然说没有一个冬季不可逾越,但本轮“抢跑”的半导体复苏预期,不得不继续面对工业缓慢复苏的实际。 自2022年下半年以来,资本商场上半导体复苏接棒“缺芯”成为关注焦点,部分半导体职业个股迅速收复跌幅,刷新阶段高点&…

Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)复现

当前漏洞环境部署在vulhub,当前验证环境为vulhub靶场(所有实验均为虚拟环境) 实验环境:攻击机----kali 靶机:centos7 1、进入环境cd activemq/CVE-2016-3088/(靶机) 2、启动环境:docker-compos…

设备健康管理软件如何帮助企业优化设备维保计划?

基于AI和工业互联网技术的新型设备管理系统,可以通过实时监测设备运行状态、预测潜在故障、提供预防性维护建议等方式,实现设备管理的数字化和智能化。该类设备管理系统的核心功能一般包括设备状态监测、故障预测、预防性维护、故障知识库管理等&#xf…

Java字节码指令

Java代码运行的过程是Java源码->字节码文件(.class)->运行结果。 Java编译器将Java源文件(.java)转换成字节码文件(.class),类加载器将字节码文件加载进内存,然后进行字节码校验,最后Java解释器翻译成机器码。 …